发布日期：2001-03-28
更新日期：2001-03-28

受影响系统：

    Akopia Interchange 4.6.3
    Akopia Interchange 4.5.3

描述：

---

BUGTRAQ  ID: 2499
CVE(CAN) ID: CAN-2001-0372
  
Akopia Interchange电子商务服务器（http://www.akopia.com/product.html）的组件中存在一个漏洞。Interchange的某些版本在发行时带有电子商务商店的示例程序，用来演示该软件的功能。这些示例文件包含一个配置错误，使得未经认证的远程用户可以连接到演示商店的基于Web的管理界面。恶意的用户可以通过这个界面来读取或篡改客户数据、产品清单以及订单信息。

<* 来源：Jud Harris (jud-lists@copernica.com) *>




测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

    以“:backup”的用户身份连接到某个用来演示的电子商店。

建议：

---

NSFOCUS建议您修改配置文件，防止用户以“:backup”帐号登录：
修改该软件的各个分类目录及分类模板目录下的products/access.asc文件，将如下的一行
:backup<tab><tab>Backup
改为
:backup<tab>*<tab>Backup
或者删除该行。然后重启该软件。

厂商补丁：

    即将发布的Interchange 4.6.4已经修正该漏洞。


浏览次数：3703
严重程度：0（网友投票）